Злоумышленники активно используют 0day уязвимость Flash Player для кибератак

    Вчера мы опубликовали сведения о новой очень опасной уязвимости в Adobe Flash Player (Hacking Team RCE Flash Player 0day), которая может использоваться атакующими для удаленного исполнения кода и установки вредоносных программ на всех популярных браузерах, включая, MS IE, MS Edge (Windows 10), Google Chrome, Opera, Mozilla Firefox, причем, эксплойт поддерживает также и ОС Apple OS X. Тогда же мы указали, что злоумышленники смогут воспользоваться этой уязвимостью в своих целях. Наши прогнозы оправдались в полной мере, авторы самых распространенных наборов эксплойтов уже добавили его в свой арсенал и используют для проведения атак drive-by download.



    Вчера компания Adobe выпустила уведомление безопасности APSA15-03, в котором указывается, что уязвимости присвоен идентификатор CVE-2015-5119 и она затрагивает Flash Player на платформах Windows, Linux и OS X. Также Adobe указала дату выхода исправления — 8 июля, т. е. сегодня.

    Наши антивирусные продукты обнаруживают эксплойт для этой уязвимости как SWF/Exploit.Agent.IG и SWF/Exploit.ExKit.AX. Действие эксплойта также может быть заблокировано с использованием EMET, о котором мы неоднократно писали ранее.

    Эксплойт для CVE-2015-5119 был добавлен, как минимум, в такие наборы эксплойтов как Angler, Neutrino и Nuclear Pack. По данным исследователя набора эксплойтов kafeine, они распространяют различные модификации эксплойта со следующими идентификаторами.

    SHA256: aff5d2b970882786538199553112edbfe6f14e945374aa88cac6d34bec8760ca
    www.virustotal.com/ru/file/aff5d2b970882786538199553112edbfe6f14e945374aa88cac6d34bec8760ca/analysis/1436307118

    SHA256: 4464720e2a849f42c7ed827901330bb2fa7d219c22e57d96db894013810705d8
    www.virustotal.com/ru/file/4464720e2a849f42c7ed827901330bb2fa7d219c22e57d96db894013810705d8/analysis/1436309989

    SHA256: 7b7141d59d4e07f7f958acac137ccfec105d046732de65e128a07bbf5f0a0baa
    www.virustotal.com/ru/file/7b7141d59d4e07f7f958acac137ccfec105d046732de65e128a07bbf5f0a0baa/analysis/1436310916

    Нужно отметить, что по сети уже начала гулять работоспособная версия 0day LPE эксплойта для up-to-date версии Windows 8.1 (atmfd.dll) (архив Hacking Team), которая может использоваться злоумышленниками для повышения привилегий во вредоносных программах или для обхода sandbox в IE.

    Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь.

    UPD: Уязвимость закрыта обновлением APSB15-16.
    helpx.adobe.com/security/products/flash-player/apsb15-16.html

    image
    be secure.
    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 15

      +7
      Видимо рак на горе свистнет раньше чем во Flash закончатся RCE уязвимости
        0
          0
          Либо 18.0.0.205, в релизнотах точных данных про исправленные уязвимости нет:
          forums.adobe.com/thread/1893403

          Там же появилась версия с PPAPI, так что Flash Player из Chrome никуда не денется.
          +1
          Да, Flash — то ещё решето.
          Я ещё вчера отключил его в хроме, но один из сайтов, на котором мне понадобилось посмотреть видео, отказывался его воспроизводить пол предлогом «установите flash player», при этом на iPad тот же сайт открывался нормально и подгрузил HTML5 плеер. Чем они руководствуются вообще? Поддержка старых версий IE, или просто им наплевать? (Сайт одного малопопулярного телеканала)
          Интересно открыть тот же сайт из-под FF под Linux, что-то мне подсказывает, что меня ждёт неудача.
            +1
            Попробовал проэксплоитить свой Chrome.

            Flash: WIN 18,0,0,194 x86-32 PlugIn
            OS: Windows 7 32-bit
            Browser:
            ===== start =====
            MyClass.valueOf()
            _ba[3] = 0
            v.length = 0x400003f0
            v[0] address = 0x8905008
            x32[] object = 0x8a25bc8
            x32[] data = 0x8d56988
            VirtualProtect() address = 0x74f14317
            Payload() object = 0x967a490
            CreateProcessA() returns 0 (in sandbox)
            v.length = 0x3f0
            ===== end =====

            Но в Process Explorer calc.exe не наблюдаю. Что я делаю не так?
              +2
              я не уверен, но не в песочнице ли дело?
                0
                А есть какая-нибудь страничка, где можно проэксплойтить?
                  +1
                  Вот тут можно скачать сам PoC-exploit.
                  Здесь я закинул его для себя на поиграться. Но не обещаю, что буду долго это дело деражать у себя.
                    0
                    Тут работает
                    Скрытый текст
                    Flash: WIN 11,7,700,169 x86-32 PlugIn
                    OS: Windows XP 32-bit
                    Browser: Netscape, Win32, Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0
                    ===== start =====
                    MyClass.valueOf()
                    _ba[3] = 0
                    v.length = 0x400003f0
                    bad MyClass2 allocation.
                    MyClass.valueOf()
                    _ba[3] = 0
                    v.length = 0x400003f0
                    v[0] address = 0xe33d008
                    x32[] object = 0xe8f9cb8
                    x32[] data = 0xb70ad70
                    VirtualProtect() address = 0x7c801ad4
                    Payload() object = 0xfb16400
                    CreateProcessA() returns 1
                    v.length = 0x3f0
                    ===== end =====



                    А тут почему-то нет
                    Скрытый текст
                    Flash: WIN 11,7,700,272 x86-32 PlugIn
                    OS: Windows 7 64-bit
                    Browser: Netscape, Win32, Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
                    ===== start =====
                    MyClass.valueOf()
                    _ba[3] = 0
                    v.length = 0x400003f0
                    v[0] address = 0x48ce008
                    x32[] object = 0x3987cb8
                    x32[] data = 0x2ebb1b8
                    VirtualProtect() address = 0x76b54317
                    Payload() object = 0x2e94490
                    CreateProcessA() returns 0 (in sandbox)
                    v.length = 0x3f0
                    ===== end =====



                    Если на 7-ке отключить песочницу («ProtectedMode = 0» в файл mms.cfg) то начинает работать тоже
                    Скрытый текст
                    Flash: WIN 11,7,700,272 x86-32 PlugIn
                    OS: Windows 7 64-bit
                    Browser: Netscape, Win32, Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
                    ===== start =====
                    MyClass.valueOf()
                    _ba[3] = 0
                    v.length = 0x400003f0
                    v[0] address = 0x50f0008
                    x32[] object = 0x49a3ce0
                    x32[] data = 0x48491b8
                    VirtualProtect() address = 0x76b54317
                    Payload() object = 0x4787460
                    CreateProcessA() returns 1
                    v.length = 0x3f0
                    ===== end =====


                      0
                      С самым новым флешем не работает и без песочницы
                      Скрытый текст
                      Flash: WIN 18,0,0,203 x86-32 PlugIn
                      OS: Windows 7 64-bit
                      Browser: Netscape, Win32, Mozilla/5.0 (Windows NT 6.1; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0
                      ===== start =====
                      MyClass.valueOf()
                      _ba[3] = 64
                      TryExpl() Error: can't cause UaF
                      ===== end =====
                  0
                  Windows Defender начал определять и блокировать эксплоит.
                    0
                    Подтверждаю (windows 10)
                      0
                      Eset тоже
                      image

                      Ах, ну да. В статье это и написано. =)
                      С отключенным антивирусом картина такая же. Только без оповещения антивируса.
                      +1
                      Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe.

                      Тогда его и включить никогда не получится, ибо уязвимостей в Flash Player — море.
                        0
                        Их море, только никто не может это море найти. Все эксплоит-киты используют 2-3 эксплоита найденных за последние 3 года. И ещё 2-3 эксплоита JVM-плагина. И при этом, пробиваемость хорошего кита — 6-10%. (RIG, Neutrino Waves, Angler, ...) Если найдёшь хотя бы парочку 0-day уязвимостей во Flash Player и удачно продашь их создателям китов, то за каждый из них можешь выручить 50-100 тыс USD. Подумай на эту тему.

                      Only users with full accounts can post comments. Log in, please.